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Vorrichtung zum Steuern von sicherheitskritischen Prozessen 



Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern 
von sicherheitskritischen Prozessen, mit einer sicheren Steue- 
rungseinheit zum Steuern der sicherheitskritischen Prozesse und 
mit zumindest zwei sicheren Signaleinheiten , die uber E/A- 
Kanale mit den sicherheitskritischen Prozessen verbunden sind, 
wobei die sichere Steuerungseinheit und die sicheren Signalein- 
heiten an einen gemeinsamen Feldbus angeschlossen sind und wo- 
bei die sicheren Signaleinheiten im Steuerungsbetrieb der Vor- 
richtung mit der sicheren Steuerungseinheit, nicht jedoch mit- 
einander kommunizieren . 

Eine derartige Vorrichtung ist aus der DE-A-197 42 716 bekannt . 



Bei einem Feldbus handelt es sich um ein System zur Daten- 
kommunikation, bei dem die angeschlossenen Einheiten iiber eine 
Sammelleitung miteinander verbunden sind. Daher konnen zwei an 
den Feldbus angeschlossene Einheiten miteinander kommunizieren, 
ohne individuell direkt miteinander verkabelt zu sein. Beispie- 
le fur bekannte Feldbusse sind der sogenannte CAN-Bus, der so- 
genannte Profibus und der sogenannte Interbus. 

Im Bereich der Steuer- und Automatisierungstechnik ist die Ver- 
wendung von Feldbussen bereits seit langerem hinreichend be- 
kannt. Dies gilt jedoch nicht fur die Steuerung von sicher- 
heitskritischen Prozessen, bei denen in der Praxis bis in die 
jungste Vergangenheit hinein die an der Steuerung beteiligten 
Einheiten individuell miteinander verkabelt wurden. Grund hier- 
fiir ist, daB die bekannten Feldbusse die zur Steuerung von si- 
cherheitskritischen Prozessen erf order liche Fehlersicherheit 
(Fehlerwahrscheinlichkeit kleiner als 1CT 11 ) nicht gewahrleisten 
konnten. Zwar besitzen alle bekannten Feldbusse MaBnahmen zur 
Fehlersicherung bei der Dateniibertragung, diese MaBnahmen sind 
jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu 
gewahrleisten. Hinzu kommt, daB Feldbusse offene System sind, 
an die grundsatzlich beliebige Einheiten angeschlossen werden 
konnen. Dabei besteht die Gefahr, daB eine Einheit, die mit ei- 
nem zu steuernden sicherheitskritischen ProzeB gar nichts zu 
tun hat, diesen ungewollt beeinfluBt. 

Unter einem sicherheitskritischen ProzeB wird hier ein ProzeB 
verstanden, von dem bei Auftreten eines Fehlers eine nicht ak- 
zeptable Gefahr fur Menschen oder materielle Guter ausgeht. Bei 
einem sicherheitskritischen ProzeB muB daher mit im Idealfall 
100%iger Sicherheit gewahrleistet sein, daB der ProzeB bei Auf- 
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treten eines Fehlers in einen sicheren Zustand iiberfuhrt wird. 
Dies kann bei einer Maschinenanlage beinhalten, dafl die Anlage 
abgeschaltet wird. Bei einem chemischen Produktionsproze3 konn- 
te ein Abschalten jedoch eine unkontrollierte Reaktion hervor- 
rufen, so daJ3 in einem solchen Fall der Prozefl besser in einen 
unkritischen Parameterbereich gefahren wird. 

Sicherheitskritische Prozesse konnen auch Teilprozesse von gro- 
fleren, iibergeordneten Gesamtprozessen sein. Bei einer hydrauli- 
schen Presse kann beispielsweise die Materialzuf uhrung ein 
nicht-sicherheitskritischer Teilprozefl, das Inbetriebnehmen des 
Preflwerkzeugs dagegen ein sicherheitskritischer Teilprozefl 
sein. Weitere Beispiele fiir sicherheitskritische (Teil-) Pro- 
zesse sind die Uberwachung von Schutzgittern, Schutzturen oder 
Lichtschranken, die Steuerung von Zwei-Hand-Schaltern oder die 
Uberwachung und Auswertung eines Not-Aus-Schalters . 

Die an der Steuerung eines sicherheitskritischen Prozesses be- 
teiligten Einheiten miissen uber ihre eigentliche Funktion hin- 
ausgehende, sicherheitsbezogene Einrichtungen aufweisen. Diese 
dienen vor allem der Fehler- und Funktionsiiberwachung . In der 
Regel sind derartige Einheiten redundant aufgebaut f urn eine si- 
chere Funktion auch bei Auftreten eines Fehlers zu gewahrlei- 
sten. Einheiten mit derartigen sicherheitsbezogenen MaBnahmen 
werden nachfolgend im Unterschied zu "normalen" Einheiten als 
sicher bezeichnet . 

Als Steuerungseinheit im Sinne der vorliegenden Erfindung wer- 
den Einheiten bezeichnet, die eine gewisse Intelligenz zur 
Steuerung eines Prozesses besitzen. In der Fachterminologie 
werden solche Steuerungseinheiten haufig als Client bezeichnet. 



Sie erhalten Daten und/oder Signale, die Zustandsgroflen der ge- 
steuerten Prozesse reprasentieren und aktivieren in Abhangig- 
keit von diesen Inf ormationen Aktoren, die den zu steuernden 
Prozefl beeinf lussen. Ublicherweise ist die Intelligenz in Form 
eines veranderbaren Anwenderprogramms in einem Speicher der 
Steuerungseinheiten niedergelegt . In der Regel werden als 
Steuerungseinheiten sogenannte SPS (Speicher Programmierbare 
Steuerungen ) verwendet . 

Eine Signaleinheit ist demgegeniiber ein Baustein, der im we- 
sentlichen Ein- und Ausgangskanale (E/A-Kanale) bereitstellt , 
an die einerseits Sensoren zur Aufnahme von ProzeJ3groJ3en und 
andererseits Aktoren angeschlossen werden konnen. Eine Si- 
gnaleinheit besitzt keine Intelligenz in Form eines veranderba- 
ren Anwenderprogramms und sie besitzt daher auch nicht die Fa- 
higkeit, eine Maschine oder einen Prozel3 eigenstandig zu steu- 
ern. Allenfalls kann beim Auftreten eines Fehlers eine Notab- 
schaltung eigenstandig ausgefiihrt werden. Eine Signaleinheit 
ist an sich nur dazu vorgesehen, einen von einer raumlich ent- 
fernten Steuerungseinheit empfangenen Befehl vor Ort auszufiih- 
ren. Hierzu kann die Signaleinheit ein Programm in Form eines 
Betriebssystems besitzen. Dieses ist jedoch vom Anwender nicht 
ohne Eingriff in die Hardware der Signaleinheit veranderbar. 
Signaleinheiten werden in der Fachterminologie ublicherweise 
als Server bezeichnet. 

In der eingangs genannten DE-A-197 42 716 ist eine Vorrichtung 
zum Steuern von sicherheitskritischen Prozessen, wie beispiels- 
weise die Uberwachung eines Schutzgitters , beschrieben. Die be- 
kannte Vorrichtung besitzt eine Steuerungseinheit sowie bei- 
spielhaft drei Signaleinheiten, die iiber einen Feldbus mitein- 
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ander verbunden sind. Sowohl die Steuerungseinheit als auch die 
Signaleinheiten weisen sicherheitsbezogene Einrichtungen zum 
Ausfiihren von vorbestimmten Sicherheitsf unktionen auf. Es han- 
delt sich daher ganz allgemein um sichere Einheiten im Sinne 
der vorliegenden Erfindung. 

Bei der bekannten Vorrichtung wird beim Auftreten eines Fehlers 
der zu steuernde Prozefl in einen sicheren Zustand uberfuhrt. 
Das Schaltsignal, mit dem diese Aktion eingeleitet wird, kann 
einerseits von der ubergeordneten Steuerungseinheit und ande- 
rerseits im Bereich derjenigen Signaleinheit ausgelost werden, 
bei der der Fehler auftritt. 

Bei der bekannten Vorrichtung ist es jedoch nicht moglich, daJ3 
eine erste Signaleinheit, in deren Bereich ein Fehler auftritt, 
andere an den Feldbus angeschlossene Signaleinheiten dazu ver- 
anlaflt, die dort verbundenen Prozesse ebenfalls abzuschalten 
bzw. in einen sicheren Zustand zu uberfiihren. Wenn mehrere Pro- 
zesse, die iiber verschiedene Signaleinheiten angesteuert wer- 
den, in einen sicheren Zustand uberfuhrt werden miissen, ist es 
erf orderlich, daJ3 die Steuerungseinheit jeder der betroffenen 
Signaleinheiten einen entsprechenden individuellen Steuerungs- 
befehl tibermittelt . Der Grund hierfur liegt darin, dafl die be- 
kannten Signaleinheiten keine Intelligenz besitzen, auf grund 
der sie in der Lage waren, andere Signaleinheiten zu steuern. 

Die bekannten Vorrichtungen besitzen daher den Nachteil, dafl 
beim Auftreten eines Fehlers im Bereich einer Signaleinheit 
wertvolle Zeit vergehen kann, bevor sicherheitskritische Pro- 
zesse, die mit anderen Signaleinheiten verbunden sind, in einen 
sicheren Zustand uberfuhrt werden konnen. Im einzelnen ist hier 



6 



zunachst ein Datenaustausch zwischen der ersten Signaleinheit 
und der iibergeordneten Steuerungseinheit und anschliefiend ein 
weiterer Datenaustausch zwischen der iibergeordneten Steuerungs- 
einheit und den weiteren betroffenen Signaleinheiten erforder- 
lich. Bei den bekannten Vorrichtungen besteht daher die Gefahr, 
daB die Abschaltung eines Prozesses, der von einem Fehler nur 
mittelbar betroffenen ist, nicht schnell genug erfolgt. 

Aus der DE-A-197 42 716 ist bekannt, daJ3 eine Gesamtanlage mit 
zahlreichen Teilprozessen mit einer einzigen Signaleinheit 
vollstandig abgeschaltet werden kann. Dabei bedient die ent- 
sprechende Signaleinheit einen Zentralschalter , insbesondere 
unterbricht sie die Haupt-Stromzuf lihrung . In diesem Fall kann 
zwar bei Auftreten eines Fehlers die gesamte Anlage schnell ab- 
geschaltet werden, es ist dann jedoch nicht moglich, einzelne 
Teilprozesse davon situationsabhangig auszunehmen . 

Bislang weisen die gattungsgemai3en Vorrichtungen jeweils nur 
eine Steuerungseinheit auf. Dies hat zur Folge, daJ3 die Vor- 
richtung insgesamt nicht mehr zur Verfiigung steht, wenn die 
Steuerungseinheit ausfallt. Es ist jedoch wiinschenswert , eine 
gattungsgemaBe Vorrichtung auch in einem solchen Fall flexibel 
weiter betreiben zu konnen. 

Dariiber hinaus besteht bei Feldbus-Systemen das Problem, daJ3 zu 
einem Zeitpunkt jeweils immer nur eine an den Feldbus ange- 
schlossene Einheit senden kann. Es konnen somit Kollisionen 
auftreten, wenn zwei oder mehr Einheiten gleichzeitig senden 
wollen. Derartige Kollisionen werden bei den bekannten Feldbus- 
Systemen durch die Vergabe von Prioritaten gelost. Im Einzel- 
fall kann es aufgrund von Kollisionen jedoch vorkommen, daJ3 ei- 
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ne Einheit mit niedriger Prioritat sehr lange blockiert ist, 
d.h. keine Sendemoglichkeit erhalt. 

Bei nicht-sicheren Feldbus-Systemen wird dieses Problem dadurch 
gelost, dafl eine zulassige maximale Buslast von beispielsweise 
50% festgelegt wird. Die Buslast ist dabei der Quotient zwi- 
schen der Zeit, in der der Feldbus belegt ist, zu der Zeit, in 
der der Feldbus zur freien Verfiigung steht. Wenn beispielsweise 
die Buslast unterhalb der festgelegten Grenze liegt, kann man 
annehmen, daB die angeschlossenen Einheiten im statistischen 
Mittel ausreichenden Zugriff auf den Feldbus erhalten. 

Bei der Steuerung eines sicherheitskritischen Prozesses ist ei- 
ne solche Losung jedoch nicht ausreichend, da es im Einzelfall 
abweichend vom statistischen Mittel vorkommen kann, daJ3 die 
entsprechende Einheit unzulassig lange blockiert ist. 

Es ist Aufgabe der vorliegenden Erfindung, eine Vorrichtung der 
eingangs genannten Art anzugeben, mit der beim Auftreten eines 
Fehlers im Bereich einer Signaleinheit beliebige Kombinationen 
von Teilprozessen innerhalb einer Gesamtanlage moglichst 
schnell in einen sicheren Zustand uberfiihrt werden konnen. 

Diese Aufgabe wird bei der eingangs genannten Vorrichtung da- 
durch gelost , da/3 die sicheren Signaleinheiten Auswertemittel 
aufweisen, die ein liber den Feldbus allgemein iibertragenes Feh- 
lertelegramm auswerten, sowie Schaltmittel , die den sicher- 
heitskritischen ProzeB bei einem als relevant ausgewerteten 
Fehlertelegramm eigenstandig in einen sicheren Zustand liber- 
f uhren . 
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Im Unterschied zu den bisher bekannten Vorrichtungen besitzen 
die Signaleinheiten der vorliegenden Erfindung die Fahigkeit, 
eigenstandig auf ein Fehlertelegramm zu reagieren, das allge- 
mein iiber den Feldbus ubertragen wird, das also nicht individu- 
ell an sie gerichtet ist. 

Eine eigenstandige Reaktion der Signaleinheiten bedeutet, daB 
diese auch ohne einen individuell an sie gerichteten Steuer- 
befehl von der iibergeordneten Steuerungseinheit reagieren kon- 
nen. Anschaulich gesprochen besitzen die Signaleinheiten der 
vorliegenden Erfindung daher eine gewisse Intelligenz, die in- 
nerhalb ihres Betriebssystems und/oder ihrer Hardware abgelegt 
ist . 

Die erf indungsgemaJBe Vorrichtung besitzt den Vorteil, da/3 die 
einzelnen Signaleinheiten aufgrund ihrer gewonnenen Intelligenz 
in der Lage sind, ein allgemein ubertragenes Fehlertelegramm 
eigenstandig auszuwerten. Dadurch konnen sie unabhangig von der 
iibergeordneten Steuerungseinheit auf einen Fehler reagieren, 
der in einem anderen Bereich der Gesamtvorrichtung aufgetreten 
ist. Es ist demnach nicht mehr erf orderlich, daJ3 jede einzelne 
Signaleinheit einen individuellen Steuerbefehl zum Abschalten 
der mit ihr verbundenen sicherheitskritischen Prozesse erhalt. 
Aufgrund dieser Matfnahme ist es moglich, beim Auftreten eines 
Fehlers mit einem einzigen Fehlertelegramm beliebige Kombina- 
tionen von Teilprozessen gleichzeitig abzuschalten . Dies ist 
wesentlich schneller, als wenn jede der betroffenen Signalein- 
heiten individuell von der iibergeordneten Steuerungseinheit an- 
gesprochen werden mu/3 . 

Die genannte Aufgabe ist daher vollstandig gelost. 
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In einer Ausgestaltung der Erfindung weist jede der Signal- 
einheiten Sendemittel zum Versenden eines Fehlertelegramms an 
eine Vielzahl von Signaleinheiten auf. 

Diese Matfnahme besitzt den Vorteil, dafl jede der Signal- 
einheiten in der Lage ist, beim Auftreten eines Fehlers in ih- 
rem Bereich die iibrigen am Feldbus angeschlossenen Signalein- 
heiten direkt zu informieren. Da jede der Signaleinheiten dar- 
uber hinaus in der Lage ist, auf den Empfang eines Fehler- 
telegramms hin eigenstandig zu reagieren, konnen auf diese Wei- 
se sicherheitskritischen Teilprozesse, die von dem Fehler be- 
troffen sind, besonders schnell in einen sicheren Zustand uber- 
fiihrt werden. Der besondere Vorteil dieser MaJ3nahme besteht 
darin, da!3 die iibergeordnete Steuerungseinheit hier gar nicht 
mehr an der Kommunikation der Signaleinheiten beteiligt ist, 
d.h. die Signaleinheiten kommunizieren direkt miteinander ohne 
den Umweg iiber die Steuerungseinheit. Hierdurch wird ein be- 
trachtlicher Zeitgewinn erreicht. 

In einer weiteren Ausgestaltung der Erfindung sind die an den 
Feldbus angeschlossenen Signaleinheiten jeweils zumindest einer 
definierten Gruppe von Signaleinheiten zugeordnet, wobei die 
Auswertemittel jeder Signaleinheit das Fehlertelegramm auf sei- 
ne Relevanz fur die jeweils zugeordnete Gruppe hin auswerten. 

Diese MaBnahme besitzt den Vorteil, daJ3 die einzelnen Si- 
gnaleinheiten sehr schnell feststellen konnen, ob ein Fehler, 
der im Bereich einer anderen Signaleinheit aufgetreten ist, ei- 
ne Relevanz im Hinblick auf die eigenen sicherheitskritischen 
Prozesse besitzt. Inf olgedessen kann jede der betroffenen Si- 
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gnaleinheiten besonders schnell auf ein allgemein versendetes 
Fehlertelegramm reagieren. 

In einer weiteren Ausgestaltung der zuvor genannten Maflnahme 
sind in jedem Fehlertelegramm die vom Fehler betroffenen Grup- 
pen codiert. 

Diese Maflnahme besitzt den Vorteil, daJ3 jede der Signal- 
einheiten die Relevanz des Fehlertelegramms unmittelbar aus dem 
Fehlertelegramm selbst erkennen kann. Hierdurch ist eine noch- 
mals beschleunigte Reaktion auf das Auftreten eines relevanten 
Fehlers moglich. 

In einer weiteren Ausgestaltung der Erfindung besitzen Fehler- 
telegramme innerhalb des Busprotokolls unabhangig von der Prio- 
ritat ihres Absenders die hochste Ubertragungsprioritat . 

In dieser Ausgestaltung der Erfindung ist es einer Signal- 
einheit unabhangig von der Buslast moglich, ein Fehlertelegramm 
unmittelbar nach dem Erkennen des Fehlers zu versenden. Dies 
gilt auch, wenn die Signaleinheit innerhalb der Struktur des 
Feldbusses nur eine untergeordnete Sendeprioritat besitzt. An- 
schaulich gesprochen, erhalt hier jeder am Feldbus angeschlos- 
sene Teilnehmer die Moglichkeit, ein Telegramm allerhochster 
Prioritat zu versenden. Hierdurch ist es moglich, andere an den 
Feldbus angeschlossene Einheiten besonders schnell liber das 
Auftreten eines Fehlers auch in einem untergeordneten Bereich 
der Anlage zu informieren. Inf olgedessen ist es moglich, auch 
auf scheinbar "kleine" Fehler sehr schnell zu reagieren. Dar- 
uber hinaus erhalt jede Einheit hierdurch die Moglichkeit, ei- 
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nen Buszugriff auch bei hochster Buslast und unabhangig von ih- 
rer Prior itat zu erzwingen. 

In einer weiteren Ausgestaltung der Erfindung werten die Aus- 
wertemittel jeder Signaleinheit ein Fehlertelegramm ohne Ver- 
senden eines Quittungstelegranuns aus . 

Diese Maflnahme stellt im Hinblick auf bekannte Vorrichtungen 
eine Besonderheit dar, da bei der Steuerung von sicherheitskri- 
tischen Prozessen iiblicherweise jedes versendete Telegrairan zu- 
nachst liber ein Quittungstelegramm f das von der Empf angseinheit 
zur Sendeeinheit zuruckgeschickt wird, bestatigt wird. Die Sen- 
deeinheit reagiert auf das Ausbleiben eines Quittungstelegranuns 
iiblicherweise, indem sie die Datenverarbeitung der Empf angsein- 
heit durch geeignete Maflnahmen unterbricht. Die genannte MaJ3- 
nahme besitzt demgegenuber den Vorteil, daJ3 eine Signaleinheit 
ein erhaltenes Fehlertelegramm ohne Zeitverzogerung direkt ver- 
arbeiten kann, da in diesem Fall ausnahmsweise kein Quit- 
tungstelegramm erforderlich ist. Aufgrund dieser Maflnahme kann 
die Reaktion auf das Auftreten eines Fehlers nochmals beschleu- 
nigt werden. 

In einer weiteren Ausgestaltung der Erfindung weist jede Si- 
gnaleinheit eine Zeitiiberwachung auf, die beim Ausbleiben eines 
erwarteten Ereignisses die Versendung eines Fehlertelegramms 
auslost . 

Die MaJ3nahme besitzt den Vorteil, daJ3 hierdurch eine grofle Red- 
undanz innerhalb der gesamten Vorrichtung erreicht wird, da je- 
de an den Feldbus angeschlossene Signaleinheit die Einhaltung 
vorgegebener Zeitablaufe uberwacht. Die genannte MaBnahme tragt 
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daher zur Erhohung der Sicherheit innerhalb der gesamten Vor- 
richtung bei, da die gegenseitige Kontrolle "auf zahlreiche 
Schultern" verteilt wird. 

In einer weiteren Ausgestaltung der zuvor genannten Mafinahme 
ist das erwartete Ereignis der Empfang eines Quittungstele- 
gramms . 

Diese Matfnahme besitzt den Vorteil, dafl jede der an den Feldbus 
angeschlossenen Einheiten beim Versenden eines Telegramms auto- 
matisch eine Fehleriiberpruf ung der angesprochenen Einheiten 
durchfuhrt. Hierdurch wird eine stetige und praktisch luckenlo- 
se gegenseitige Kontrolle erreicht. 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen 
ist das erwartete Ereignis der Empfang eines zyklisch versende- 
ten Priif telegramms . 

Bei dem Priif telegramm handelt es sich urn eine Nachricht, die 
von einer Einheit, beispielsweise einer ubergeordneten Steuer- 
einheit, an andere an den Feldbus angeschlossene Einheiten ver- 
sendet wird. Da ein solches Telegramm, wie bereits erlautert, 
durch ein Quittungstelegramm bestatigt werden muJ3, erhalt die 
ubergeordnete Einheit die Moglichkeit , die Verbindung zu der 
angesprochenen Einheiten auf ihre Fehlerf reiheit hin zu uber- 
prvifen. Dadurch, daJ3 jede Signaleinheit den regelmafligen, zy- 
klischen Eingang der Priif telegramme uberwacht, wird umgekehrt 
auch eine Kontrolle der ubergeordneten Einheit erreicht. 
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In einer weiteren Ausgestaltung der zuvor genannten Mafinahmen, 
die jedoch fiir sich genommen ebenfalls als Erfindung anzusehen 
ist, ist das erwartete Ereignis eine Sendemoglichkeit. 

Wie bereits erwahnt, wird die Kommunikation der einzelnen ange- 
schlossenen Einheiten in vielen Feldbus-Systemen durch die in- 
dividuelle Vergabe einer Sendeberechtigung bzw. durch die Ein- 
raumung von individuellen Sendemoglichkeiten koordiniert (z.B. 
beim Profibus). In anderen Feldbus-Systemen erhalten die ein- 
zelnen Einheiten ihre Sendeberechtigung aufgrund einer ihnen 
fest zugeordneten Prioritat. In beiden Fallen kann es vor- 
kommen, daJ3 eine Einheit aufgrund einer hohen Buslast unzulas- 
sig lange auf die Sendemoglichkeit warten mu/3. Dies kann bei 
der Steuerung von sicherheitskritischen Prozessen gefahrlich 
sein, da diese Einheit fiir eine entsprechend lange Zeit von der 
Kommunikation abgeschnitten ist. Aufgrund der genannten MaJ3- 
nahme ist es jedoch mdglich, daJ3 die betroffene Einheit sich 
auch gegenuber Busteilnehmern durchsetzt, die eine hohere Prio- 
ritat besitzen, indem sie namlich ein Fehlertelegramm mit ent- 
sprechend hoher bzw. hochster Prioritat generiert. Die Maflnahme 
besitzt den Vorteil, da/3 der Feldbus auch bei der Steuerung von 
sicherheitskritischen Prozessen mit einer sehr hohen Buslast 
betrieben werden kann, da es hier jeder Einheit stets moglich 
ist, eine unzulassig lange Blockierung zu uberwinden. Hierdurch 
ist auch bei einer sehr hohen Buslast gewahrleistet , dafl Nach- 
richten stets innerhalb einer fest definierten, maximalen Zeit- 
spanne iiber den Feldbus ubertragen werden. Die Maflnahme ist 
aufgrund dieser Tatsache auch fiir sich genommen von besonderem 
Vorteil . 
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In einer weiteren Ausgestaltung der Erfindung ist der Feldbus 
ein CAN-Bus. 

Diese Maflnahme ist besonders vorteilhaft, da ein CAN-Bus von 
seiner Grundstruktur her das Versenden und Empfangen von Nach- 
richten zwischen beliebigen an den Bus angeschlossenen Ein- 
heiten ermoglicht. Hierdurch ist ein CAN-Bus besonders gut ge- 
eignet, urn beim Auftreten eines Fehlers in einem bestimmten Be- 
reich sehr schnell ein Fehlertelegramm an eine Vielzahl von an- 
geschlossenen Einheiten zu versenden. Gleichzeitig erfordert 
ein CAN-Bus aufgrund dieser Eigenschaft jedoch bei der Steue- 
rung von sicherheitskritischen Prozessen die Einhaltung sehr 
streng definierter Regeln zur Koordination der Kommunikation. 
Die erf indungsgemaflen Mafinahmen sind in Verbindung mit einem 
CAN-Bus besonders vorteilhaft, da sie einerseits klare Regeln 
zur Koordination der Kommunikation beinhalten und andererseits 
die Besonderheit des CAN-Busses optimal ausnutzen. Insgesamt 
ist ein CAN-Bus daher in Kombination mit den erf indungsgemafien 
MaJ3nahmen besonders gut zur Steuerung von sicherheitskritischen 
Prozessen geeignet . 

In einer weiteren Ausgestaltung, die jedoch auch fur sich ge- 
nommen vorteilhaft ist, weist die Vorrichtung zumindest zwei 
sichere Steuerungseinheiten zum Steuern von sicherheitskriti- 
schen Prozessen auf , die liber einen gemeinsamen Feldbus mit zu- 
mindest einer Signaleinheit verbunden sind. 

Diese Mafinahme besitzt den Vorteil, daI3 die Vorrichtung auch 
dann noch zum Steuern von Prozessen verwendet werden kann, wenn 
eine der Steuerungseinheiten ausfallt. Beispielsweise ist es 
hierdurch moglich, zwei gleiche Maschinenanlagen getrennt von- 
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einander uber einen gemeinsamen Feldbus zu steuern. Wenn eine 
der Maschinenanlagen ausfallt, kann die andere weiter arbeiten 
und unter Umstanden sogar die Produktion erhohen, urn den Ver- 
lust aus der ersten Maschinenanlage auszugleichen . 

In einer weiteren Ausgestaltung der zuvor genannten Maflnahme 
weist die Vorrichtung ferner eine Verwaltungseinheit zum Koor- 
dinieren der zumindest zwei sicheren Steuerungseinheiten auf. 

Diese MaJ3nahme besitzt den Vorteil, dafl die Koordination der 
mehrfachen Steuerungseinheiten von diesen getrennt erfolgen 
kann, so daJ3 die Steuerungseinheiten selbst vollstandig zum 
Steuern der Prozesse, d.h. zum Ausfuhren der Anwendungsprogram- 
me zur Verfugung stehen. Daruber hinaus ist die Koordination 
der Steuerungseinheiten, die wiederum Sicherheitsaspekte der 
Vorrichtung berlicksichtigen mufl, dem Zugriff des Anwenders ent- 
zogen . 

In einer weiteren Ausgestaltung ist den zumindest zwei sicheren 
Steuerungseinheiten zumindest eine Signaleinheit gemeinsam zu- 
geordnet, wobei eine erste der sicheren Steuerungseinheiten di- 
rekt mit der genannten Signaleinheit kommuniziert , wahrend eine 
zweite der sicheren Steuerungseinheiten uber die erste Steue- 
rungseinheit mit der genannten Signaleinheit kommuniziert. 

Diese MaBnahme besitzt den Vorteil, daii einzelne Ressourcen in- 
nerhalb der Vorrichtung, beispielsweise ein Not-Aus-Schalter , 
von den mehreren Steuerungseinheiten gemeinsam genutzt werden 
konnen . Hierdurch lassen sich Kosten einsparen und es wird ins- 
gesamt die Flexibilitat erhoht. Dabei ist aufgrund der genann- 



ten Maflnahme die Vermeidung von Kollisionen beim Zugriff auf 
die gemeinsam genutzte Signaleinheit moglich. 

Es versteht sich, daJ3 die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 
angegebenen Kombination, sondern auch in anderen Kombinationen 
Oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 

Ausf iihrungsbeispiele der Erfindung sind in der Zeichnung 
dargestellt und werden in der nachf olgenden Beschreibung naher 
erlautert. Es zeigen: 

Fig. 1 ein Ausf uhrungsbeispiel der Erfindung, bei dem zwei 
sichere Steuerungseinheiten uber einen Feldbus mit 
insgesamt vier sicheren Signaleinheiten verbunden 
sind, 

Fig. 2 unterschiedlichen Datenverkehr liber den Feldbus und 

Fig. 3 eine schematische Darstellung verschiedener Kommuni- 
kationsablauf e zwischen einer sicheren Steuerungs- 
einheit und zwei sicheren Signaleinheiten. 

In Fig. 1 ist eine erf indungsgematfe Vorrichtung in ihrer Ge- 
samtheit mit der Bezugsziffer 10 bezeichnet. 

Die Vorrichtung 10 besitzt zwei sichere Steuerungseinheiten 12 
und 14, die uber einen Feldbus 16 mit insgesamt vier sicheren 
Signaleinheiten 18, 20, 22 und 24 verbunden sind. Jede der si- 
cheren Signaleinheiten 18 bis 24 weist mehrere E/A-Kanale auf, 
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uber die sie mit jeweils einem sicherheitskritischen ProzeB 28 , 
30, 32 verbunden ist. Dabei sind die sicheren Signaleinheiten 
18 und 2 0 mit dem ProzeB 2 8 verbunden, wahrend die Signalein- 
heit 22 mit dem ProzeB 30 und die Signaleinheit 24 mit dem Pro- 
zeB 32 verbunden ist. Bei dem sicherheitskritischen ProzeB 28 
handelt es sich beispielsweise urn die Zwei-Hand-Steuerung einer 
Maschinenanlage, bei der auBerdem auch die Drehzahl einer Ma- 
schinenwelle (hier nicht dargestellt) iiberwacht wird. Der si- 
cherheitskritische ProzeB 30 ist beispielsweise die Uberwachung 
eines Not-Aus-Schalters und der sicherheitskritische ProzeB 32 
die Uberwachung eines Schutzgitters (ebenfalls nicht darge- 
stellt) . 

Die Signaleinheiten 18 bis 24 lesen uber ihre E/A-Kanale 26 ei- 
nerseits Signale und/oder Datenwerte der sicherheitskritischen 
Prozesse 28 bis 32 ein. Derartige Signale bzw. Datenwerte sind 
beispielsweise die aktuelle Drehzahl der Maschinenwelle oder 
die Schalterstellung des Not-Aus-Schalters. Andererseits konnen 
die Signaleinheiten 18 bis 24 uber die E/A-Kanale 26 auf Akto- 
ren einwirken, mit denen die sicherheitskritischen Prozesse 28 
bis 32 beeinfluJ3t werden. So gehort beispielsweise zu dem si- 
cherheitskritischen ProzeB 30 , in dem die Schalterstellung des 
Not-Aus-Schalters iiberwacht wird, ein Aktor (nicht darge- 
stellt), mit dem die Hauptstromversorgung der gesteuerten und 
uberwachten Maschinenanlage abgeschaltet werden kann. 

Die sicheren Steuerungseinheiten 12 und 14 sind ebenso wie die 
sicheren Signaleinheiten 18 bis 24 vom Grundsatz her jeweils 
gleich aufgebaut. Aus diesem Grund sind die nachf olgenden Be- 
zugszeichen zur Erlauterung der Steuerungseinheiten 12, 14 bzw. 
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der Signaleinheiten 18 bis 24 in Fig. 1 jeweils nur einmal auf- 
gef iihrt . 

Die Steuerungseinheiten 12 , 14 beinhalten jeweils einen siche- 
ren Verarbeitungsteil 34 , der in Fig. 1 oberhalb der strich- 
punktierten Linie 36 angeordnet ist. Unterhalb der Linie 36 be- 
findet sich in dieser schematischen Darstellung ein nicht- 
sicherer Teil 38 , der im wesentlichen einen als Buscontroller 
bezeichneten Baustein 40 enthalt. Der Buscontroller 40 ist ein 
Standard-Baustein, in dem das Standard-Protokoll des Feldbusses 
16 implementiert ist. Der Buscontroller 4 0 ist in der Lage, das 
eigentliche Versenden und Empfangen von Nachrichten in Form von 
Telegrammen eigenstandig abzuwickeln. Die zu versendenden Nach- 
richten erhalt er von dem sicheren Verarbeitungsteil 34. Umge- 
kehrt stellt er empfangene Nachrichten dem sicheren Verarbei- 
tungsteil 34 zur Verfligung. 

Gemafl einer bevorzugten Ausflihrung der Erfindung handelt es 
sich bei dem Feldbus 16 urn einen CAN-Bus. Bei diesem Bus werden 
zu versendende Nachrichten innerhalb eines Nutzdatenf eldes 
ubertragen, das fur seinen Weg uber den Feldbus 16 mit zusatz- 
lichen Steuerungsinf ormationen erganzt wird. Das gesamte Paket 
aus Steuerungsinformationen und Nutzdatenf eld ist das Tele- 
gramm. Der Buscontroller 40 ist in der Lage, Nachrichten, die 
er von dem sicheren Verarbeitungsteil 34 erhalt, selbstandig in 
der vorgeschriebenen Form in die zu versendenden Telegramme 
einzubetten. Umgekehrt kann er bei einem empfangenen Telegramm 
die im Nutzdatenf eld enthaltenen Nachrichten extrahieren. 

Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12, 14 
ist zweikanalig aufgebaut. Jeder der beiden Kanale enthalt im 



19 



wesentlichen einen Prozessor 42a, 42b mit jeweils zugehoriger 
Peripherie, mit dem ein Anwendungsprogramm 44a , 44b ausgefiihrt 
wird. In dem Anwendungsprogramm 44a , 44b ist die Steuerung der 
Maschinenanlage und damit die Intelligenz der Steuerungseinhei- 
ten 12 , 14 niedergelegt . 

Die beiden Prozessoren 42a, 42b fiihren sicherheitsrelevante 
Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich 
gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt 
ist. Die sicherheitsrelevanten Aufgaben beinhalten beispiels- 
weise Mafinahmen zur Fehlersicherung von ubertragenen bzw. ver- 
sendeten Nachrichten. Diese Maflnahmen erfolgen zusatzlich und 
in Erganzung zu den Fehlersicherungsmafinahmen, die bereits 
standardmaBig von dem Buscontroller 4 0 durchgefiihrt werden. 
Hierdurch ist es moglich, die Fehlerwahrscheinlichkeit gegen- 
iiber dem nicht-sicheren Feldbus 16 betrachtlich zu erhohen. 

Die Signaleinheiten 18 bis 24 sind uber den gleichen Bus-, 
controller 40 an den Feldbus 16 angeschlossen wie die Steue- 
rungseinheiten 12, 14. Dementsprechend ist der Teil 48 oberhalb 
der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne der vor- 
liegenden Erfindung. In dem sicheren Verarbeitungsteil unter- 
halb der Linie 50 ist jede Signaleinheit 18 bis 24 wiederum 
zweikanalig-redundant aufgebaut. Die beiden redundanten Verar- 
beitungskanale sind wiederum in der Lage, eine gegenseitige 
Fehleruberwachung durchzuf uhren . 

Jeder der Verarbeitungskanale der Signaleinheiten 18 bis 24 
weist eine Verarbeitungseinheit 52a, 52b sowie ein Schaltmittel 
54a, 54b auf. Die Verarbeitungseinheiten 52a, 52b enthalten so- 
wohl Auswertemittel, mit denen die Signaleinheiten 18 bis 24 
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empfangene Nachrichten auswerten konnen, als auch Sendemittel, 
mit denen sie in Kombination mit dem Buscontroller 4 0 Nachrich- 
ten liber den Feldbus 16 versenden konnen. Die Verarbeitungs- 
einheiten 52 beinhalten jeweils einen Prozessor zum Ausfiihren 
der vorgesehenen Aufgaben, sie besitzen jedoch kein Anwendungs- 
programm 44, das der Anwender der Maschinenanlage andern kann. 
Der Funktionsumf ang der Signaleinheiten 18 bis 24 ist daher nur 
vom jeweiligen Hersteller bestimmt und als Betriebssystem in 
einer sogenannten Firmware niedergelegt . 

Die Schaltmittel 54 versetzen die Signaleinheiten 18 bis 24 in 
die Lage, die hier nicht dargestellten Aktoren zur Beein- 
flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti- 
vieren. Damit sind die Schaltmittel 54a , 54b in der Lage, die 
sicherheitskritischen Prozesse 28 bis 32 in einen sicheren Zu- 
stand zu uberfiihren. In dem angenommenen Fall, daJ3 die Vorrich- 
tung 10 zum Steuern einer komplexen Maschinenanlage dient, wer- 
den die sicherheitskritischen Prozesse 28 bis 32 beispielsweise 
dadurch in ihren sicheren Zustand iiberfuhrt, daJ3 Teile der Ma- 
schinenanlage bzw. die gesamte Maschinenanlage abgeschaltet 
werden . 

Mit den Bezugszif f ern 56a, 56b sind jeweils Zeitiiberwachungen 
bezeichnet, die innerhalb der Signaleinheiten 18 bis 24 iiber- 
priifen, ob vorgegebene Zeitablaufe eingehalten werden. Wird ei- 
ne erwartete Nachricht beispielsweise nicht innerhalb eines de- 
finierten Zeitrasters empfangen, generieren die Zeitiiber- 
wachungen 56a, 56b eine Fehlermeldung, die letztendlich dazu 
flihren kann, daB die Maschinenanlage abgeschaltet wird. 
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Gemafl einer bevorzugten Ausfiihrung der Erfindung sind die Si- 
gnaleinheiten 18 bis 24 definierten Gruppen von Signaleinheiten 
zugeordnet. Diese Gruppen sind wiederum den beiden Steuerungs- 
einheiten 12 bzw. 14 zugeordnet. Beispielhaft ist in Fig. 1 ei- 
ne erste Gruppe 5 8 durch eine gestrichelte Linie angedeutet, 
der die Signaleinheiten 18 , 20 und 22 zugeordnet sind. Mit der 
Bezugsziffer 60 ist eine zweite Gruppe bezeichnet, der die Si- 
gnaleinheiten 22 und 24 zugeordnet sind. Hieraus ergibt sich, 
dai3 einzelne Signaleinheiten auch mehreren Gruppen 58, 60 
gleichzeitig zugeordnet sein konnen, wie dies anhand der Si- 
gnaleinheit 22 dargestellt ist. 

Die Zuordnung einzelner Signaleinheiten 18 bis 24 zu Gruppen 
58, 60 ermoglicht es, beim Auftreten eines Fehlers innerhalb 
der Vorrichtung 10 die sicherheitskritischen Prozesse 28 bis 32 
gruppenweise abzuschalten . Ein Beispiel fur die Zuordnung von 
Signaleinheiten 18 bis 24 zu Gruppen 58, 60 ist, dafl mit der 
Vorrichtung 10, insbesondere den beiden Steuerungseinheiten 12, 
14, zwei voneinander getrennte Maschinenanlagen gleichzeitig 
gesteuert werden. In dem Fall, dai3 ein auftretender Fehler nur 
eine der beiden Maschinenanlagen betrifft, geniigt es, auch nur 
diese Maschinenanlage abzuschalten. Durch die gemeinsame Steue- 
rung der beiden Maschinenanlagen mit der Vorrichtung 10 ist es 
in einem solchen Fall moglich, die Produktionsmenge der zweiten 
Maschinenanlage zu erhohen, um den Stillstand der ersten Ma- 
schinenanlage auszugleichen. Durch die Zuordnung der Signalein- 
heiten 18 bis 24 zu den Gruppen 58, 60 konnen beliebige Kombi- 
nationen von sicherheitskritischen Prozessen 28 bis 32 gezielt 
und mit einem einzigen Steuerbefehl in ihren sicheren Zustand 
uberfiihrt werden. 
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Mit der Bezugsziffer 70 ist in Fig. 1 eine sogenannte Ver- 
waltungseinheit bezeichnet, die auch als "Management Device" 
bezeichnet wird. Die Verwaltungseinheit 70 ist ebenfalls iiber 
einen Buscontroller 40 an den Feldbus 16 angeschlossen . Sie 
kann daher mit den iibrigen an den Feldbus 16 angeschlossenen 
Einheiten kommunizieren . An der Kommunikation zwischen den 
Steuerungseinheiten 12, 14 und den Signaleinheiten 18 bis 24, 
ist die Verwaltungseinheit jedoch nicht unmittelbar beteiligt. 

In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein- 
heit 7 0 im wesent lichen zwei zueinander redundante Speicher 
72a, 72b, in denen die gesamte Konf iguration der Vorrichtung 
10 f insbesondere die Struktur der an den Feldbus 16 angeschlos- 
senen Einheiten abgelegt ist. Die Verwaltungseinheit 70 iiber- 
nimmt eine zentrale Verwaltungs- und Uberwachungsf unktion, urn 
vor allem die verschiedenen Steuerungseinheiten 12, 16 mitein- 
ander zu koordinieren . Hierdurch ist es moglich, da!3 verschie- 
dene Steuerungseinheiten 12, 14 an einem Feldbus 16 betrieben 
werden konnen . 

Dariiber hinaus ist es in dem vorliegenden Ausf iihrungsbeispiel 
Aufgabe der Verwaltungseinheit 70, in regelmaBigen Zeit- 
intervallen eine Verbindungspriif ung zu initiieren. Hierbei 
uberpruft die Verwaltungseinheit 70 durch Versenden eines Priif- 
telegramms an die Steuerungseinheiten 12, 14, ob die Verbindung 
zu diesen Steuerungseinheiten noch fehlerfrei f unktioniert . Als 
Reaktion auf dieses Priif telegramm versenden die Steuerungsein- 
heiten 12, 14 ihrerseits Priif telegramme an die ihnen zugeordne- 
ten Signaleinheiten 18 bis 24, urn auch diese Kommunikationsver- 
bindungen zu uberprufen. Die Verwaltungseinheit 7 0 uberwacht 
den gesamten diesbeziiglichen Datenverkehr und erhalt somit in 
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regelmafligen Zeitintervallen eine Information daruber, ob nach 
wie vor alle ihr bekannten Einheiten aktiv am Feldbus 16 ange- 
schlossen sind. Beim Ausbleiben eines erwarteten Pruf telegramms 
oder auch beim Ausbleiben eines erwarteten Antworttelegramms 
auf ein versendetes Pruf telegramm generiert die Verwaltungsein- 
heit und/oder die betroffene Steuer- oder Signaleinheit ein 
Fehlertelegramm, aufgrund dessen die sicherheitskritischen Pro- 
zesse 28 bis 32 in ihren sicheren Zustand uberfuhrt werden. 

Alternativ zu dem hier dargestellten Ausf uhrungsbeispiel kann 
die Verwaltungseinheit 7 0 auch in einer der Steuerungseinheiten 
12, 14 integriert sein. In diesem Fall stellt die Verwaltungs- 
einheit 70 einen Funktionsblock innerhalb der Steuerungseinheit 
12 , 14 dar, der die betroffene Steuerungseinheit dann von den 
weiteren am Feldbus 16 angeschlossenen Steuerungseinheiten un- 
terscheidet . 

Die Verwendung der Verwaltungseinheit 70 ist besonders vorteil- 
haft, wenn es sich, wie im vorliegenden Fall, bei dem Feldbus 
16 urn einen CAN-Bus handelt. Grund hierfiir ist, daJ3 in diesem 
Fall iiblicherweise keine zentrale Einheit die Koordination der 
Kommunikation auf dem Feldbus ubernimmt. Im Gegenteil, die an 
den Feldbus 16 angeschlossenen Einheiten sind zumindest vom 
Grundsatz her gleichberechtigt . Bei einem Standard-CAN-Bus gibt 
es daher keine Einheit, die einen Uberblick iiber Veranderungen 
in der Struktur der am Feldbus 16 angeschlossenen Einheiten be- 
sitzt. Der Ausf all einer Einheit, der bei der Steuerung von si- 
cherheitskritischen Prozessen 28 bis 32 unter Umstanden einen 
gefahrlichen Zustand hervorrufen kann, wird daher nicht mit 
hinreichender Sicherheit f estgestellt . Durch die Verwendung der 
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Verwaltungseinheit 70 kann diese Sicherheitslucke auch bei ei- 
nem CAN-Bus geschlossen werden. 

In dem hier dargestellten Ausf iihrungsbeispiel wird der Zugriff 
verschiedener Steuerungseinheiten 12, 14 auf eine gemeinsam ge- 
nutzte Signaleinheit, hier also beispielhaft die Signaleinheit 
22, dadurch koordiniert, daJ3 eine Steuerungseinheit , hier bei- 
spielsweise die Steuerungseinheit 12 , eine "Master "-Funktion 
erhalt. Diese Funktion gestattet der Steuerungseinheit 12, di- 
rekt mit der gemeinsam genutzten Signaleinheit 22 zu kommuni- 
zieren. Die anderen "Slave" -Steuerungseinheiten, in diesem Fall 
also die Steuerungseinheit 14, erhalt einen Zugriff auf die ge- 
meinsam genutzte Signaleinheit 22 nur unter Kontrolle der Ma- 
ster-Steuerungseinheit 12. Im vorliegenden Fall versendet die 
Steuerungseinheit 14 ein Telegramm, das fur die gemeinsam ge- 
nutzte Signaleinheit 22 vorgesehen ist, zunachst an die Master- 
Steuerungseinheit 12. Diese leitet das Telegramm anschlieBend 
an die gemeinsam genutzte Signaleinheit 22 weiter. Die Si- 
gnaleinheit 24, die im vorliegenden Ausf iihrungsbeispiel allein 
der Steuerungseinheit 14 zugeordnet ist, wird demgegeniiber un- 
mittelbar von der Steuerungseinheit 14 angesprochen . Im Hin- 
blick auf die gemeinsam genutzte Signaleinheit 22 erscheint die 
Steuerungseinheit 14 innerhalb der Struktur des Feldbusses 16 
der Steuerungseinheit 12 untergeordnet . Sie wird von der Steue- 
rungseinheit 12 in gleicher Weise angesprochen, wie die Si- 
gnaleinheiten 18 bis 24. Im Hinblick auf die allein von ihr 
verwendete Signaleinheit 24 besitzt die Steuerungseinheit 14 
jedoch selbst die Master-Funktion . 
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Die Kommunikation zwischen den beiden Steuerungseinheiten 12 
und 14 kann ebenso erfolgen, wie die Kommunikation jeder dieser 
beiden Steuerungseinheiten mit den Signaleinheiten 18 bis 24. 

Die Zuordnung der einzelnen Signaleinheiten 18 bis 24 zu den 
verschiedenen Steuerungseinheiten 12 , 14 ist ebenso wie die Zu- 
ordnung der Signaleinheiten zu den Gruppen 58, 60 in der Ver- 
waltungseinheit 70 abgelegt . 

In Fig. 2 ist anhand der Steuerungseinheit 14 und der Si- 
gnaleinheit 24 zunachst einmal der ubliche Datenverkehr iiber 
den Feldbus 16 im normalen Steuerungsbetrieb der Vorrichtung 10 
dargestellt. Derselbe Datenverkehr findet im normalen Steue- 
rungsbetrieb auch zwischen der Steuerungseinheit 12 und den ihr 
zugeordneten Signaleinheiten 18 bis 22 statt. 

Die Steuerungseinheit 14 versendet einen Steuerbefehl an die 
Signaleinheit 24 in Form eines Telegramms in Richtung des 
Pfeils 82. Die Signaleinheit 24 empfangt das Nach- 
richtentelegramm 82 und antwortet mit einem Quittungstelegramm, 
das in Richtung des Pfeils 84 zur Steuerungseinheit 14 zuriick- 
gesendet wird. Anschlieflend wertet die Verarbeitungseinheit 52 
der Signaleinheit 24 den erhaltenen Steuerbefehl aus und fuhrt 
die vorgesehene Aktion aus. Die Aktion kann beispielsweise dar- 
in bestehen, daJ3 die Signaleinheit 24 einen Signal- oder Daten- 
wert des sicherheitskritischen Prozesses 32 einliest und an die 
Steuerungseinheit 14 iibertragt. Dies erfolgt mit einem Nach- 
richtentelegramm in Richtung des Pfeils 84, auf das die Steue- 
rungseinheit 14 mit einem Quittungstelegramm in Richtung des 
Pfeils 82 antwortet. 
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Die Signaleinheit 24 ist im normalen Steuerungsbetrieb der Vor- 
richtung 10 ebenso wie die Signaleinheiten 18 bis 22 nur eine 
ausfiihrende Einheit, von der selbst keine eigenstandigen Aktio- 
nen ausgehen. Insbesondere kommuniziert keine der Signaleinhei- 
ten 18 bis 24 im normalen Steuerungsbetrieb der Vorrichtung 10 
mit einer anderen der Signaleinheiten 18 bis 24 , da eine solche 
Kommunikation zwangslaufig eine eigenstandige Aktivitat voraus- 
setzt . 

Abweichend von diesem normalen Steuerungsbetrieb ist jede der 
Signaleinheiten 18 bis 24 hier jedoch aufgrund der Erfindung in 
der Lage, ein Fehlertelegramm allgemein uber den Feldbus 16 an 
die anderen Signaleinheiten zu ubertragen. Ebenso ist jede der 
Signaleinheiten 18 bis 24 in der Lage, ein allgemein ubertrage- 
nes Fehlertelegramm auszuwerten und eigenstandig darauf zu rea- 
gieren. Dies ist in Fig. 2 am Beispiel der Signaleinheit 18 
dargestellt. 

In diesem Beispiel ist in der Verarbeitungseinheit 52a der Si- 
gnaleinheit 18 ein Fehler aufgetreten, der durch einen Blitz 90 
angedeutet ist. Die Verarbeitungseinheit 52b stellt diesen Feh- 
ler aufgrund der gegenseitigen Kontrolle der Verarbeitungs- 
einheiten 52a , 52b fest. Da dieser Fehler im Hinblick auf den 
zu steuernden, sicherheitskritischen Proze/3 28 gefahrlich sein 
konnte, generiert die Signaleinheit 18 ein Fehlertelegramm 92 
und versendet es allgemein liber den Feldbus 16. Das Fehlertele- 
gramm 92 besitzt einen allgemeinen ersten Teil 94 , der es als 
allgemeines Fehlertelegramm kennzeichnet . Ein Telegramm, das 
diesen allgemeinen Teil aufweist, besitzt automatisch innerhalb 
der Struktur der Vorrichtung 10 die allerhochste Prioritat und 
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unterbricht gegebenenf alls jeglichen Datenverkehr iiber den 
Feldbus 16 zwischen angeschlossenen Einheiten. 

Im zweiten Teil 96 des Fehlertelegramms 92 sind die von dem 
Fehler 90 betroffenen Gruppen 58, 60 von Signaleinheiten 18 bis 
24 codiert. 

Das Fehlertelegramm 92 wird von alien am Feldbus 16 ange- 
schlossenen Einheiten empfangen und ausgewertet, was durch die 
Pfeile 98 dargestellt ist. Insbesondere wird das Fehler- 
telegramm 92 hier von den Signaleinheiten 20 , 22 und 24 
(letzteres hier nicht dargestellt) empfangen und ausgewertet. 
Im Gegensatz zum normalen Steuerungsbetrieb der Vorrichtung 10 
findet hier daher eine Konununikation unmittelbar zwischen den 
Signaleinheiten 18 und 20 bis 24 statt. 

Die Verarbeitungseinheiten 52 der einzelnen Signaleinheiten 20 
bis 24 sind in der Lage, das Fehlertelegramm 92 als solches zu 
erkennen und anhand der codierten Gruppen im zweiten Teil 96 
auszuwerten. In dem Fall, dafl im zweiten Teil 96 des Fehler- 
telegramms 92 eine Gruppe 58 , 60 codiert ist f der eine empfan- 
gende Signaleinheit 20 bis 24 angehort, schaltet die entspre- 
chende Verarbeitungseinheit 52 die mit ihr verbundenen sicher- 
heitskritischen Prozesse 28 , 30 ab. Dies ist in Fig. 2 anhand 
der Schlussel 100 dargestellt. In der in Fig. 2 dargestellten 
Situation reagieren beispielsweise samtliche Signaleinheiten, 
die der ersten Gruppe 58 angehoren. 

In der schematischen Darstellung in Fig. 3 ist beispielhaft der 
zeitliche Ablauf der Konununikation zwischen der Steuerungs- 



28 



einheit 12 und den Signaleinheiten 18 und 20 dargestellt. Dabei 
verlauft die Zeitachse in Richtung des Pfeils 110. 

Die einzelnen Telegramme, die zwischen den verschiedenen Ein- 
heiten versendet werden, sind anhand von Pfeilen symbolisiert , 
deren Ausgangspunkt beim Sender mit einem Punkt gekennzeichnet 
ist und deren Endpunkt auf den Empf anger verweist. 

In dem ersten Zeitabschnitt oberhalb der Linie 112 ist die Kom- 
munikation der betroffenen Einheiten im normalen Steuerungs- 
betrieb der Vorrichtung 10 dargestellt. Beispielsweise ver- 
sendet die Steuerungseinheit 12 ein Telegramm 114 mit einem 
Steuerbefehl an die Signaleinheit 18. Diese antwortet mit einem 
Quittungstelegramm 116. Im nachsten Schritt versendet die 
Steuerungseinheit 12 ein Telegramm 118 mit einem weiteren Steu- 
erbefehl an die Signaleinheit 20. Auch diese antwortet mit ei- 
nem Quittungstelegramm 120. Wenn der erste Steuerbefehl , der 
mit dem Telegramm 114 an die Signaleinheit 18 ubertragen wurde, 
die Aufforderung zum Einlesen eines Datenwertes enthalten hat, 
antwortet die Signaleinheit 18 des weiteren mit einem Telegramm 
122 , mit dem sie der Steuerungseinheit 12 den geforderten Da- 
tenwert ubertragt. Auch das Telegramm 122 wird mit einem Quit- 
tungstelegramm 124 von Seiten der Steuerungseinheit 12 beant- 
wortet. In gleicher Weise kann auch die Signaleinheit 20 Daten- 
werte an die Steuerungseinheit 12 versenden. Wie anhand dieser 
Darstellung zu erkennen ist, findet im normalen Steuerungsbe- 
trieb der Vorrichtung 10 keine Kommunikation zwischen den Si- 
gnaleinheiten 18 und 20 statt. 

In dem nachsten Zeitabschnitt zwischen den Linien 112 und 126 
ist das Verhalten der Vorrichtung 10 beim Auftreten eines Feh- 
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lers innerhalb der Signaleinheit 18 dargestellt. In diesem Fall 
versendet die Signaleinheit 18 ein Fehlertelegramm 128 allge- 
mein uber den Feldbus 16 , d.h. jede an den Feldbus 16 ange- 
schlossene Einheit kann dieses Fehlertelegramm 128 empfangen. 
Insbesondere versendet die Signaleinheit 18 dabei das Fehlerte- 
legramm 128 direkt an die Signaleinheit 20. Anschlieflend rea- 
gieren die betroffenen Signaleinheiten 18 , 20 auf den aufgetre- 
tenen Fehler, indem sie die Prozesse 130 , 132 in ihren sicheren 
Zustand iiberfiihren. Wie anhand dieser Darstellung erkennbar 
ist, reagieren die betroffenen Signaleinheiten 18, 20 auf das 
erhaltene Fehlertelegramm 128, ohne den Empfang eines Quit- 
tungstelegramms abzuwarten oder den Versand eines Quittungste- 
legramms zu generieren. 

In dem nachsten Zeitabschnitt oberhalb der Linie 134 ist der 
Ablauf einer Verbindungsprlif ung zwischen den Einheiten an dem 
Feldbus 16 dargestellt. Dabei ist hier angenommen, dafl die Ver- 
bindungsprlif ung von der Steuerungseinheit 12 initiiert wird. 
Abweichend hiervon wird die Verbindungsprlif ung in anderen Aus- 
f lihrungsbeispielen von der Verwaltungseinheit 70 initiiert. 

Zu Beginn der Verbindungsprlif ung versendet die Steuerungs- 
einheit 12 an die Signaleinheiten 18, 20 ein Priif telegramm 136, 
das anschliefiend von jeder der angesprochenen Signaleinheiten 
mit einem Quittungstelegramm 138, 140 beantwortet wird. Diese 
Verbindungsprlif ung wird in regelmaBigen , zyklischen Zeit- 
intervallen durchgef iihrt . Die Zeitintervalle werden mit Hilfe 
der Zeitiiberwachungen 56 von jeder der am Feldbus 16 ange- 
schlossenen Einheiten uberwacht. Bleibt ein erwartetes Prli- 
f ungstelegramm aus, wie dies anhand des gestrichelten Pfeils 
142 dargestellt ist, erzeugt die betroffene Einheit, im vor- 
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liegenden Fall die Signaleinheit 20, ein Fehlertelegramm 144, 
das wiederum allgemein an alle am Feldbus 16 angeschlossenen 
Einheiten versendet wird. Die am Feldbus 16 angeschlossenen 
Einheiten reagieren dann in der bereits beschriebenen Art und 
Weise . 

Eine weitere Fehlerquelle ist in dem nachsten Zeitabschnitt un- 
terhalb der Linie 134 dargestellt. In diesem Zeitabschnitt ver- 
sucht die Signaleinheit 20 ein Telegramm iiber den Feldbus 16 zu 
versenden. Dabei kollidiert sie jedoch mit dem gleichzeitig 
stattf indenden Telegrammverkehr 14 6, 14 8 zwischen der Steue- 
rungseinheit 12 und der Signaleinheit 18. Derartige Kollisionen 
werden beim CAN-Bus ebenso wie bei vielen anderen Bussystemen 
iiber die Vergabe von Prioritaten gelost. Wenn die Signaleinheit 
20 fur das Versenden ihrer Nachricht eine niedrige Prioritat 
besitzt, ist es jedoch moglich, dafl es ihr iiber einen langeren 
Zeitraum nicht gelingt, ihre Nachricht iiber den Feldbus 16 zu 
versenden, 

Wie leicht nachzuvollziehen ist, hangt die Zeitdauer, in der 
die Signaleinheit 20 in diesem Fall blockiert ist, von der Aus- 
lastung des Feldbusses 16 ab. Dabei ist die sogenannte Buslast 
als Quotient definiert zwischen derjenigen Zeit, in der der 
Feldbus 16 belegt ist, zu derjenigen Zeit, in der der Feldbus 
16 zur freien Verfiigung steht . Bei nicht-sicheren Feldbussen 
wird die Zeit, innerhalb der eine Einheit, wie im vor liegenden 
Fall die Signaleinheit 20, blockiert sein kann, durch die An- 
gabe einer maximal zulassigen Buslast festgelegt. Wenn bei- 
spielsweise die Buslast unterhalb von 50 % liegt, kann man an- 
nehmen, daJ3 die angeschlossenen Einheiten im statistischen Mit- 
tel ausreichenden Zugriff auf den Feldbus 16 erhalten. Bei der 
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Steuerung eines sicherheitskritischen Prozesses ist eine der- 
artige Definition jedoch nicht ausreichend, da es im Einzelfall 
abweichend vom statistischen Mittel vorkommen kann, daJ3 die Si- 
gnaleinheit 20 unzulassig lange blockiert ist. 

GemaJ3 der Erfindung erzeugt die Signaleinheit 20 daher in einem 
solchen Fall ein Fehlertelegramm 150, das die hochste Prioritat 
besitzt. Hierdurch ist gewahrleistet , daB eine unzulassig lange 
Blockade der Signaleinheit 20 stets nach Ablauf einer definier- 
ten Zeitspanne, die von der Zeitiiberwachung 56 der Signalein- 
heit 2 0 uberwacht wird, beendet wird. 

Ganz allgemein erhalt aufgrund dieser MaJ3nahme eine Einheit, 
die an sich mit einer niedrigen Prioritat an den Feldbus 16 an- 
geschlossen ist, die Moglichkeit, einen Buszugriff zu erzwin- 
gen. Es ist damit moglich, den Feldbus 16 selbst bei der Steue- 
rung von sicherheitskritischen Prozessen mit einer Buslast zu 
betreiben, die deutlich hoher als 50 % liegt. 



Patentanspriiche 



1. Vorrichtung zum Steuern von sicherheitskritischen Prozes- 
sen (28, 30, 32), mit einer sicheren Steuerungseinheit 
(12, 14) zum Steuern der sicherheitskritischen Prozesse 
(28, 30, 32) und mit zumindest zwei sicheren Signaleinhei- 
ten (18, 20, 22, 24), die liber E/A-Kanale (26) mit den si- 
cherheitskritischen Prozessen (28, 30, 32) verbunden sind, 
wobei die sichere Steuerungseinheit (12, 14) und die si- 
cheren Signaleinheiten (18, 20, 22, 24) an einen gemeinsa- 
men Feldbus (16) angeschlossen sind und wobei die sicheren 
Signaleinheiten ( 18, 20, 22, 24) im Steuerungsbetrieb der 
Vorrichtung (10) mit der sicheren Steuerungseinheit (12, 
14), nicht jedoch miteinander kommunizieren, dadurch ge- 
kennzeichnet, daB die sicheren Signaleinheiten (18, 20, 
22, 24) Auswertemittel (52a, 52b) zum Auswerten eines all- 
gemein uber den Feldbus (16) ubertragenen Fehlertelegramms 
(92; 128; 144; 150) aufweisen, sowie Schaltmittel (54a, 
54b), die den sicherheitskritischen Proze/3 (28, 30, 32) 
bei einem als relevant ausgewerteten Fehlertelegramm (92; 
128; 144; 150) eigenstandig in einen sicheren Zustand 
uberf iihren. 

2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet , daB 
jede der Signaleinheiten (18, 20, 22, 24) Sendemittel (40, 
52a, 52b) zum Versenden eines Fehlertelegramms (92; 128; 
144; 150) an eine Vielzahl von Signaleinheiten (18, 20, 
22, 24) aufweist. 
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3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, da!3 die an den Feldbus (16) angeschlossenen Si- 
gnaleinheiten (18, 20 , 22, 24) jeweils zumindest einer de- 
finierten Gruppe (58, 60) von Signaleinheiten (18, 20, 22, 
24) zugeordnet sind, wobei die Auswertemittel (52a, 52b) 
jeder Signaleinheit (18, 20, 22, 24) das Fehlertelegramm 
(92; 128; 144; 150) auf seine Relevanz fiir die jeweils zu- 
geordnete Gruppe (58, 60) hin auswerten. 

4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet , da!3 
in jedem Fehlertelegramm (92; 128; 144; 150) die vom Feh- 
ler betroffenen Gruppen (58, 60) codiert sind. 

5. Vorrichtung nach einem der Anspriiche 1 bis 4, dadurch ge- 
kennzeichnet, daJ3 Fehlertelegramme (92; 128; 144; 150) in- 
nerhalb des Busprotokolls unabhangig von einer Prioritat 
ihres Absenders die hochste Ubertragungsprioritat be- 
sitzen . 

6. Vorrichtung nach einem der Anspriiche 1 bis 5, dadurch ge- 
kennzeichnet, dai3 die Auswertemittel (52a, 52b) jeder Si- 
gnaleinheit (18, 20, 22, 24) ein Fehlertelegramm (92; 128; 
144; 150) ohne Versenden eines Quittungstelegramms (116, 
12 0 ) auswerten • 

7. Vorrichtung nach einem der Anspriiche 1 bis 6, dadurch ge- 
kennzeichnet, dafl jede Signaleinheit (18, 20, 22, 24) eine 
Zeitiiberwachung (56) aufweist, die beim Ausbleiben eines 
erwarteten Ereignisses die Versendung eines Fehler- 
telegramms (92; 128; 144; 150) auslost. 
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8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, da!3 
das erwartete Ereignis der Empfang eines Quittungs- 
telegramms (116; 120; 124) ist. 

9. Vorrichtung nach Anspruch 7 oder 8, dadurch gekennzeich- 
net, daJ3 das erwartete Ereignis der Empfang eines zyklisch 
versendeten Pruf telegramms (136, 142) ist. 

10. Vorrichtung nach einem der Anspruche 7 bis 9, dadurch ge- 
kennzeichnet , daJ3 das erwartete Ereignis eine Sendemog- 
lichkeit (152) ist. 

11. Vorrichtung nach einem der Anspruche 1 bis 10, dadurch ge- 
kennzeichnet , daJ3 der Feldbus (16) ein CAN-Bus ist. 

12. Vorrichtung, insbesondere nach einem der Anspruche 1 bis 
11, dadurch gekennzeichnet , daJ3 sie zumindest zwei sichere 
Steuerungseinheiten (12, 14) zum Steuern von sicherheits- 
kritischen Prozessen (28, 30, 32) aufweist, die uber einen 
gemeinsamen Feldbus (16) mit zumindest einer Signaleinheit 
(18, 20, 22, 24) verbunden sind. 

13. Vorrichtung nach Anspruch 12, dadurch gekennzeichnet, daJ3 
sie ferner eine Verwaltungseinheit (70) zum Koordinieren 
der zumindest zwei sicheren Steuerungseinheiten (12, 14) 
aufweist . 

14. Vorrichtung nach Anspruch 12 oder 13, dadurch gekennzeich- 
net, dai3 den zumindest zwei sicheren Steuerungseinheiten 
(12, 14) zumindest eine Signaleinheit (22) gemeinsam zuge- 
ordnet ist, wobei eine erste der sicheren Steuerungsein- 



heiten (12) direkt mit der genannten Signaleinheit (22) 
kommuniziert , wahrend eine zweite der sicheren Steuerungs- 
einheiten (14) iiber die erste Steuerungseinheit (12) mit 
der genannten Signaleinheit (22) kommuniziert. 
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